3
Laptop anbindung über VPN
Hallo zusammen,
ich habe die jetzt doch irgendwie die Aufgabe bekommen Laptops mit Windows 10 mobil anzubinden. Ich habe schon einige Ideen aber würde gerne mal wissen wie das Thema von euch so gelöst wird.
Wir in der IT legen sehr großen Wert auf die Sicherheit und dürfen uns wie alle anderen ja eigentlich auch, keinen Ausfall der IT oder einen Abfluss von Daten erlauben. Aber die Leitung möchte nun doch öfters mobil arbeiten. Leider habe ich kein Budget für andere VPN Clients, Ipsec mit Board mitteln wäre vielleicht möglich muss aber mit der PfSense gehen. Ein RAS Server kommt leider erst mal nicht in Frage u.a. mangels IPv6 und ein Windows Server direkt am Internet finde ich jetzt auch nicht so gut.
Gegeben ist:
Internet mit fester IP. aktuell nur für Administrative Zwecke genutzt.
Zwei PfSense Extern und Intern kleine DMZ dazwischen.
Voll virtualisiere Umgebung mit Server 2012 R2 Domain DFS etc.
Clients noch Win7 haben kein direktes Internet nur per speziell abgesicherter Software (Browser in the Box)
Einen Exchange Server der Nachrichten nur per Smarthost (vom Dienstleister) versendet und empfängt, also ebenfalls quasi offline arbeitet.
Ziel soll sein das die User sich mit der Domain Kennung an dem Laptop anmelden, und Mails lesen kann und Dateien Office bearbeitet. Die Profile sehe ich jetzt noch nicht auf der Mobile Clients. Ich würde per GPO lokale Profile erzwingen. Homelaufwerk sollte bzw. muss dann reichen, ggf. evtl. mit offline Dateien. Datenschutz geht an dieser Stelle dann doch deutlich vor Datensicherheit. Und die Profile sind gerade im Bereich der Leute die Laptops nutzen dürfen einfach viel zu groß für die Anbindung. Ordnerumleitung insb. den Desktop haben wir gerade erst abgeschafft.
Laptops sind nach meiner aktuellen Idee:
Win 10 Entp. in der Domain mit entsprechenden Richtlinien die so ziemlich alles verbieten Store, Apps, etc. inkl. Applocker.
Bit Locker ist natürlich aktiviert evtl. mit Pin zum Start das muss ich klären ob ich das durchsetzen kann.
Benutzer bekommen Ihr Profil nicht geladen aber Netzlaufwerke per GPO.
Mein Hauptproblem ist die Sache mit dem Internet, ich habe mir jetzt mal mehre Möglichkeiten ausgedacht und tendiere zurzeit zu Variante B aber vielleicht fällt hier jemanden ja vielleicht noch was Besseres ein.
Variante A
OpenVPN läuft im Hintergrund als Dienst und baut sobald Internet verfügbar ist die Verbindung auf SSL+TLS Zertifikatsbasierend.
Laptop geht über Lokalen Browser online, Route nur für die Server/Firmennetz verfügbar.
- Klingt für mich recht unsicher, Schadsoftware könnte gleichzeitig auf Dateien und Internet zugreifen.
Variante B
OpenVPN läuft im Hintergrund als Dienst und baut sobald Internet verfügbar ist die Verbindung auf SSL+TLS Zertifikatsbasierend.
Laptop hat Default Route zur Firma und verwendet einen Zentralen Proxy Server der nochmals ein wenig filtert. Normales Internet ist nicht möglich solange kein VPN aufgebaut ist. (Proxy wird im Browser erzwungen per GPO)
Dürfte ähnlich der Remote Access von Microsoft sein. Client ist im Grunde immer im Firmennetzwerk unterwegs, wäre aber noch über lokale Netze angreifbar.
Variante C
Zwei OpenVPN Verbindungen eine für Management (DCs + GPOs) permanent offen und eine zweite von Benutzer Initiiert mit UserAuth die dann die Default Route auf Firma umleitet Internet verhindert oder über Proxy leitet, aber Zugriff auf Dateien gewährt. Also entweder Internet oder Datei Zugriff. Klingt und ist wahrscheinlich irgendwie doof.
Meine Hauptsorge sind halt Dinge aus dem Internet CryptoViren oder Exploits in Office Dokumenten, die man auch mit Applocker ja nicht zu 100% verhindern kann. Daher die Frage wie Ihr das so angehen würdet oder bereits umsetzt.
ich habe die jetzt doch irgendwie die Aufgabe bekommen Laptops mit Windows 10 mobil anzubinden. Ich habe schon einige Ideen aber würde gerne mal wissen wie das Thema von euch so gelöst wird.
Wir in der IT legen sehr großen Wert auf die Sicherheit und dürfen uns wie alle anderen ja eigentlich auch, keinen Ausfall der IT oder einen Abfluss von Daten erlauben. Aber die Leitung möchte nun doch öfters mobil arbeiten. Leider habe ich kein Budget für andere VPN Clients, Ipsec mit Board mitteln wäre vielleicht möglich muss aber mit der PfSense gehen. Ein RAS Server kommt leider erst mal nicht in Frage u.a. mangels IPv6 und ein Windows Server direkt am Internet finde ich jetzt auch nicht so gut.
Gegeben ist:
Internet mit fester IP. aktuell nur für Administrative Zwecke genutzt.
Zwei PfSense Extern und Intern kleine DMZ dazwischen.
Voll virtualisiere Umgebung mit Server 2012 R2 Domain DFS etc.
Clients noch Win7 haben kein direktes Internet nur per speziell abgesicherter Software (Browser in the Box)
Einen Exchange Server der Nachrichten nur per Smarthost (vom Dienstleister) versendet und empfängt, also ebenfalls quasi offline arbeitet.
Ziel soll sein das die User sich mit der Domain Kennung an dem Laptop anmelden, und Mails lesen kann und Dateien Office bearbeitet. Die Profile sehe ich jetzt noch nicht auf der Mobile Clients. Ich würde per GPO lokale Profile erzwingen. Homelaufwerk sollte bzw. muss dann reichen, ggf. evtl. mit offline Dateien. Datenschutz geht an dieser Stelle dann doch deutlich vor Datensicherheit. Und die Profile sind gerade im Bereich der Leute die Laptops nutzen dürfen einfach viel zu groß für die Anbindung. Ordnerumleitung insb. den Desktop haben wir gerade erst abgeschafft.
Laptops sind nach meiner aktuellen Idee:
Win 10 Entp. in der Domain mit entsprechenden Richtlinien die so ziemlich alles verbieten Store, Apps, etc. inkl. Applocker.
Bit Locker ist natürlich aktiviert evtl. mit Pin zum Start das muss ich klären ob ich das durchsetzen kann.
Benutzer bekommen Ihr Profil nicht geladen aber Netzlaufwerke per GPO.
Mein Hauptproblem ist die Sache mit dem Internet, ich habe mir jetzt mal mehre Möglichkeiten ausgedacht und tendiere zurzeit zu Variante B aber vielleicht fällt hier jemanden ja vielleicht noch was Besseres ein.
Variante A
OpenVPN läuft im Hintergrund als Dienst und baut sobald Internet verfügbar ist die Verbindung auf SSL+TLS Zertifikatsbasierend.
Laptop geht über Lokalen Browser online, Route nur für die Server/Firmennetz verfügbar.
- Klingt für mich recht unsicher, Schadsoftware könnte gleichzeitig auf Dateien und Internet zugreifen.
Variante B
OpenVPN läuft im Hintergrund als Dienst und baut sobald Internet verfügbar ist die Verbindung auf SSL+TLS Zertifikatsbasierend.
Laptop hat Default Route zur Firma und verwendet einen Zentralen Proxy Server der nochmals ein wenig filtert. Normales Internet ist nicht möglich solange kein VPN aufgebaut ist. (Proxy wird im Browser erzwungen per GPO)
Dürfte ähnlich der Remote Access von Microsoft sein. Client ist im Grunde immer im Firmennetzwerk unterwegs, wäre aber noch über lokale Netze angreifbar.
Variante C
Zwei OpenVPN Verbindungen eine für Management (DCs + GPOs) permanent offen und eine zweite von Benutzer Initiiert mit UserAuth die dann die Default Route auf Firma umleitet Internet verhindert oder über Proxy leitet, aber Zugriff auf Dateien gewährt. Also entweder Internet oder Datei Zugriff. Klingt und ist wahrscheinlich irgendwie doof.
Meine Hauptsorge sind halt Dinge aus dem Internet CryptoViren oder Exploits in Office Dokumenten, die man auch mit Applocker ja nicht zu 100% verhindern kann. Daher die Frage wie Ihr das so angehen würdet oder bereits umsetzt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394764
Url: https://administrator.de/contentid/394764
Printed on: April 26, 2024 at 02:04 o'clock
3 Comments
Latest comment
Bit Locker ist natürlich aktiviert evtl. mit Pin zum Start das muss ich klären ob ich das durchsetzen kann.
Ohne wäre es etwas sinnlos, man muss schon irgendwas haben, was die Verschlüsselung entsperrt. Eine automatische Entsperrung ist wie gar keine Verschlüsselung.Was du benötigst, ist ein Client, der erkennt, dass er in einem vertrauten Netzwerk ist. Ist er das nicht, muss er sämtlichen ein- und ausgehenden Datenverkehr blockieren. Eventuell mit einer Möglichkeit zur Captive Portal Remediation.
Variante 3 klingt für mich sinnfrei und irgendwie auch nicht funktional.
Variante 2 funktioniert vermutlich nicht, wie du es dir vorstellst, da es irgendwelcher Schadsoftware egal ist, ob es einen Proxy gibt oder nicht. Und wenn du den Proxy in der GPO erzwingst, kann man diesen noch immer ändern, da die entsprechenden Felder nicht schreibgeschützt werden und portable Browser funktionieren möglicherweise auch noch.
Wir in der IT legen sehr großen Wert auf die Sicherheit und dürfen uns wie alle anderen ja eigentlich auch, keinen Ausfall der IT oder einen Abfluss von Daten erlauben. Aber die Leitung möchte nun doch öfters mobil arbeiten. Leider habe ich kein Budget für andere VPN Clients, Ipsec mit Board mitteln wäre vielleicht möglich muss aber mit der PfSense gehen.
ich habe die jetzt doch irgendwie die Aufgabe bekommen Laptops mit Windows 10 mobil anzubinden. Ich habe schon einige Ideen aber würde gerne mal wissen wie das Thema von euch so gelöst wird.
Wenn du die Aufgabe bekommen hast, müssen auch entsprechende Euros zur Verfügung gestellt werden. Insbesondere wenn so hohe Schutzziele gewünscht werden.ich habe die jetzt doch irgendwie die Aufgabe bekommen Laptops mit Windows 10 mobil anzubinden. Ich habe schon einige Ideen aber würde gerne mal wissen wie das Thema von euch so gelöst wird.
Noch ein paar wichtige Anmerkungen: Kommunikation der Clients untereinander verhindern, administrative Freigaben deaktivieren, steht aktuell alles hier.
Wir haben das über eine Cisco ASA mit AnyConnect geregelt. Wenn das Gerät in einem vertrauten Netz ist, verkriecht sich AnyConnect, wenn er irgendeine andere Verbindung feststellt, wird er nervig. Anmeldung oder offline. Anmeldung läuft über eine 2FA.
Benutzer bekommen Ihr Profil nicht geladen aber Netzlaufwerke per GPO.
Bedenke, dass die entsprechende GPO nur ausgeführt wird, wenn eine Verbindung zum AD besteht und die GPO gelesen werden kann, während der Benutzer sich anmeldet. Ansonsten kommen die Laufwerke erst bei der nächsten GP-Aktualisierung, was bei einer Standardkonfiguration meine ich vier Stunden wären. Ich würde hier eher ein Login-Script an die erfolgreiche VPN-Anmeldung hängen.
ich habe die jetzt doch irgendwie die Aufgabe bekommen Laptops mit Windows 10 mobil anzubinden.
Kein Problem !!Einfach mal das Tutorial hier lesen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit deinen beiden pfSensen hast du optimale Voraussetzungen.
Also: Abtippen und MACHEN !!
Case closed !
Kurz um das Abzuschließen, habe Variante B eingerichtet, funktioniert auch soweit ohne Probleme. Quasi ein Domain Client to go.
